Apples hemmelighet er ute: 3 null-dager fikset, så pass på å lappe nå!

Husk den lynlåste, men superraske oppdateringen som Apple presset ut for tre uker siden, 2023-05-01?

Den oppdateringen var den aller første i Apples nymotens Rask sikkerhetsrespons prosess, der selskapet kan presse ut kritiske oppdateringer for viktige systemkomponenter uten å gå gjennom en operativsystemoppdatering i full størrelse som tar deg til et nytt versjonsnummer.

Som vi tenkte på i Naked Securirty-podcasten den uken:

Apple har nettopp introdusert "Rapid Security Responses." Folk rapporterer at de tar sekunder å laste ned og krever en superrask omstart. [Men] når det gjelder å være ordknapp [om oppdateringen], er de med glidelås. Absolutt ingen informasjon hva det handlet om. Men det gikk raskt og fint!

Bra for noen

Dessverre var disse nye Rapid Security Responses kun tilgjengelig for den aller nyeste versjonen av macOS (for øyeblikket Ventura) og den nyeste iOS/iPadOS (for øyeblikket på versjon 16), som etterlot brukere av eldre Mac-er og iDevices, samt eiere av Apple Watches og Apple TV-er, i mørket.

Apples beskrivelse av de nye hurtigoppdateringene antydet at de vanligvis ville håndtere nulldagsfeil som påvirket kjerneprogramvare som Safari-nettleseren og WebKit, som er nettgjengivelsesmotoren som hver nettleser er forpliktet til å bruke på iPhones og iPads.

Teknisk sett kan du lage en nettleserapp for iPhone eller iPad som brukte Chromium-motoren, slik Chrome og Edge gjør, eller Gecko-motoren, slik Mozillas nettlesere gjør, men Apple ville ikke slippe den inn i App Store hvis du gjorde det.

Og fordi App Store er den eneste "walled garden"-kilden til apper for Apples mobile enheter, det er det: det er WebKit-måten, eller ingen måte.

Grunnen til at kritiske WebKit-feil har en tendens til å være farligere enn feil i mange andre applikasjoner, er at nettlesere med vilje bruker tiden sin på å hente innhold fra hvor som helst og hvor som helst på internett.

Nettlesere behandler deretter disse ikke-klarerte filene, levert eksternt av andres webservere, konverterer dem til synlig, klikkbart innhold og viser dem som nettsider du kan samhandle med.

Du forventer at nettleseren din aktivt vil advare deg, og eksplisitt be om tillatelse, før du utfører handlinger som anses som potensielt farlige, som å aktivere webkameraet ditt, lese inn filer som allerede er lagret på enheten din, eller installere ny programvare.

Men du forventer også at innhold som ikke anses som direkte farlig, for eksempel bilder som skal vises, videoer som skal vises, lydfiler som spilles av, og så videre, blir behandlet og presentert for deg automatisk.

Enkelt sagt, bare besøker en nettside bør ikke sette deg i fare for å få skadelig programvare implantert på enheten din, data stjålet, passordene dine snuset opp, ditt digitale liv utsatt for spionprogrammer eller noe slikt misbruk.

Med mindre det er en feil

Med mindre det selvfølgelig er en feil i WebKit (eller kanskje flere feil som kan kombineres strategisk), slik at nettleseren din kan bli lurt til å gjøre noe ved å lage en bevisst booby-fanget bildefil, video eller JavaScript-popup. det burde ikke.

Hvis nettkriminelle, eller spywareselgere, eller jailbreakers, eller sikkerhetstjenestene til en regjering som ikke liker deg, eller faktisk noen med dine verste interesser på hjertet, avdekker en utnyttbar feil av denne typen, kan de være i stand til å kompromittere cybersikkerheten av hele enheten din...

... ganske enkelt ved å lokke deg til et ellers uskyldig utseende nettsted som burde være helt trygt å besøke.

Vel, Apple fulgte nettopp opp sine siste Rapid Security Resonse-oppdateringer med full-on oppdateringer for alle støttede produkter, og blant sikkerhetsbulletinene for disse oppdateringene har vi endelig funnet ut hva disse Rapid Responses var der for å fikse.

To null-dager:

• CVE-2023-28204: WebKit. En avlesning utenfor grensene ble adressert med forbedret inndatavalidering. Behandling av nettinnhold kan avsløre sensitiv informasjon. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet.
• CVE-2023-32373: WebKit. Et problem med bruk etter fri ble løst med forbedret minnebehandling. Behandling av ondsinnet nettinnhold kan føre til kjøring av vilkårlig kode. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet.

Generelt sett, når to null-dager av denne typen dukker opp samtidig i WebKit, er det en god innsats at de har blitt kombinert av kriminelle for å lage et to-trinns overtaksangrep.

Bugs som ødelegger minnet ved å overskrive data som ikke bør berøres (f.eks. CVE-2023-32373) er alltid dårlige, men moderne operativsystemer inkluderer mange kjøretidsbeskyttelser som tar sikte på å hindre at slike feil blir utnyttet til å ta kontroll over buggy-programmet.

For eksempel, hvis operativsystemet tilfeldig velger hvor programmer og data havner i minnet, kan ikke nettkriminelle ofte gjøre så mye mer enn å krasje det sårbare programmet, fordi de ikke kan forutsi hvordan koden de angriper er lagt ut i minnet .

Men med presis informasjon om hva som er hvor, kan en grov, "krasjtastisk" utnyttelse noen ganger gjøres om til en "krasj-og-behold-kontroll"-utnyttelse: det som er kjent under det selvbeskrivende navnet på en ekstern kjøring av kode hull.

Selvfølgelig kan feil som lar angripere lese fra minneplasseringer som de ikke er ment (f.eks. CVE-2023-28204), ikke bare føre direkte til datalekkasje og datatyveri, men også indirekte føre til "krasj-og-behold- control»-angrep, ved å avsløre hemmeligheter om minneoppsettet inne i et program og gjøre det lettere å ta over.

Interessant nok er det en tredje null-dagers oppdatering i de siste oppdateringene, men denne ble tilsynelatende ikke fikset i Rapid Security Response.

• CVE-2023-32409: WebKit. Problemet ble løst med forbedrede grensekontroller. En ekstern angriper kan være i stand til å bryte ut av nettinnholdssandboksen. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet.

Som du kan forestille deg, vil det å kombinere disse tre null-dagene tilsvare en hjemmekjøring til en angriper: den første feilen avslører hemmelighetene som trengs for å utnytte den andre feilen pålitelig, og den andre feilen lar kode implanteres for å utnytte den tredje. …

…på hvilket tidspunkt har angriperen ikke bare tatt over den "ingjerde hagen" på din nåværende nettside, men tatt kontroll over hele nettleseren din, eller enda verre.

Hva gjør jeg?

Sørg for at du er lappet! (Gå til innstillinger > general > Programvare oppdatering.)

Til og med enheter som allerede mottok en rask sikkerhetsrespons i begynnelsen av mars 2023, har en null-dag å reparere.

Og alle plattformer har mottatt mange andre sikkerhetsfikser for feil som kan utnyttes for angrep så varierte som: omgå personvernpreferanser; tilgang til private data fra låseskjermen; lese posisjonsinformasjonen din uten tillatelse; spionere på nettverkstrafikk fra andre apper; og mer.

Etter oppdatering bør du se følgende versjonsnumre:

• watchOS: nå i versjon 9.5
• tvOS: nå i versjon 16.5
• iOS 15 og iPadOS 15: nå i versjon 15.7.6
• iOS 16 og iPadOS 16: nå i versjon 16.5
• macOS Big Sur: nå kl 11.7.7
• macOS Monterey: nå kl 12.6.6
• macOS Ventura: nå kl 13.4

Viktig merknad: hvis du har macOS Big Sur eller macOS Monterey, er de viktige WebKit-oppdateringene ikke samlet sammen med versjonsoppdateringen for operativsystemet, men leveres i en egen oppdateringspakke kalt Safari 16.5.

Ha det gøy!

---

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
• Minting the Future med Adryenn Ashley. Tilgang her.
• Kjøp og selg aksjer i PRE-IPO-selskaper med PREIPO®. Tilgang her.
• kilde: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/